Chrome позволил сделать 32 млн загрузок мошеннических расширений для браузера

Это показывает неспособность технологической индустрии защитить браузеры, всё больше используемые для электронной почты, платежей и других чувствительных вещей, считают исследователи.  

Недавно пользователи сделали 32 млн загрузок мошеннических расширений для браузера Google Chrome, который является лидером рынка, пишет Reuters со ссылкой на исследование платформы по обнаружению кибератак на организации Awake Security. Исследователи подчеркнули неспособность технологической индустрии защитить браузеры, всё больше используемые для электронной почты, платежей и других чувствительных вещей.

В Alphabet Inc (GOOGL.O) Google заявили, что удалили более 70 вредоносных дополнений из официального интернет-магазина Chrome, после того как в прошлом месяце исследователи предупредили корпорацию. «Когда нас предупреждают о расширениях в веб-магазине, которые нарушают нашу политику, мы принимаем меры и тренируемся на этих инцидентах в целях улучшения нашего автоматизированного и ручного анализа», — сказал представитель Google Скотт Вестовер.

Большинство бесплатных расширений предупреждают пользователей о сомнительных веб-сайтах или преобразовывают файлы из одного формата в другой. Новые мошеннические расширения выкачивали историю браузера и данные, которые сливали учётные записи для доступа к внутренним бизнес-инструментам.

По словам соучредителя и главного научного сотрудника Awake Security Гэри Голомба, это была самая масштабная вредоносная кампания в Chrome store на сегодняшний день, судя по количеству загрузок.

Google отказался сравнивать последние шпионские программы с предыдущими кампаниями и обсуждать масштаб ущерба или причину, по которой он не обнаружил и не удалил плохие расширения самостоятельно, несмотря на прошлые обещания контролировать предложения в магазине более пристально.

Неясно, кто стоял за попыткой распространить вредоносное ПО. В Awake Security полагают, что разработчики дали поддельную контактную информацию, когда представляли расширения Google.
«Все, что попадёт в чей-то браузер, электронную почту или другие чувствительные области, станет мишенью для национального шпионажа или организованной преступности», — прокомментировал ситуацию бывший инженер Агентства национальной безопасности Бен Джонсон, основавший компании по безопасности Carbon Black и Obsidian Security.

Эти расширения были разработаны таким образом, чтобы не быть обнаруженными антивирусами или ПО по безопасности, которое оценивает репутацию доменов, сказал Голомб. Если кто-то использовал браузер для интернет-серфинга на домашнем компьютере, он подключался к ряду веб-сайтов и передавал информацию, обнаружили исследователи. Любой человек, использующий корпоративную сеть, которая содержит службы безопасности, не будет передавать конфиденциальную информацию или даже заходить на вредоносные версии сайтов.
«Это показывает, как злоумышленники могут использовать чрезвычайно простые методы, чтобы скрыть, в данном случае, тысячи вредоносных доменов», — сделал вывод Голомб.

После публикации этой истории Awake Security обнародовала своё исследование, включающее список доменов и расширений.
Все рассматриваемые и связанные между собой домены (в общей сложности более 15 тыс.) были приобретены у небольшого израильского регистратора Galcomm, официально известного как CommuniGal Communication Ltd.

В Awake Security считают, что в Galcomm должны были знать о происходящем. Владелец Galcomm Моше Фогель заявил Reuters, что его компания не сделала ничего плохого. «Galcomm не вовлечена и не участвует в какой-либо вредоносной деятельности. Можно сказать прямо противоположное: мы сотрудничаем с правоохранительными органами и органами безопасности, чтобы предотвратить подобное настолько, насколько мы можем», — написал Фогель.

Фогель также попросил список подозрительных доменов и сказал, что на электронной почте компании нет никаких сообщений о запросах Голомба насчёт злоупотреблений, которые тот отправил в апреле и продублировал в мае. После публикации Фогель заявил, что большинство этих доменных имен были неактивны и он продолжит изучение остальных.

Курирующая регистраторов компания Internet Corp for Assigned Names and Numbers заявила, что в течение нескольких лет получила некоторое количество жалоб на Galcomm, но ни одна из них не была о вредоносных программах.

В течение многих лет мошеннические расширения являются проблемой и становятся всё хуже. Поначалу они «выплёвывали» нежелательную рекламу, а теперь, более вероятно, устанавливают дополнительные вредоносные программы или отслеживают, где находятся пользователи и что они делают для правительственных или коммерческих шпионов.

Разработчики вредоносов уже давно используют Google Chrome Store в качестве канала связи. Когда одна из десяти заявок была признана вредоносной, Google заявил, что в 2018 году улучшит безопасность, отчасти за счёт роста числа отзывов людей.

Но в феврале независимый исследователь Джамила Кая и компания Cisco Systems Duo Security обнаружили похожую кампанию в Chrome, которая украла данные примерно у 1,7 млн пользователей. Google присоединился к расследованию и обнаружил 500 мошеннических расширений.

«Мы проводим регулярные чистки в поисках расширений, использующих аналогичные методы, код и поведение», — сказал Уэстовер из Google на том же языке, что и Google после отчета Duo Security.

Оригинал статьи